Cómo dominar la inteligencia multisource con agentes de IA

Cómo dominar la inteligencia multisource con agentes de IA

Si has pasado algún tiempo en un centro de operaciones de seguridad (SOC), Seguro que has vivido esta situación: se activa una alerta y el primer instinto del analista es empezar a investigar. Consulta VirusTotal para comprobar el hash. Luego, recurre a Recorded Future para obtener el contexto de la campaña. Revisa el historial DNS de Cisco Umbrella. Quizás incluso tenga a mano una fuente interna de TI o una membresía de ISAC. Cada fuente ofrece su propia puntuación, su propio formato, su propio veredicto, y la mitad de las veces se contradicen.

Así que el analista hace lo que siempre hacen los analistas. Abre seis pestañas, sopesa mentalmente los resultados basándose en su experiencia e intuición, y toma una decisión. Ese proceso lleva entre 15 y 30 minutos por indicador, y la "metodología" para llegar a una conclusión reside exclusivamente en la mente del analista. Cuando se va a casa o deja la empresa, ese razonamiento se va con él.

Este es el inteligencia de amenazas (TI) problema de correlación, y ha existido desde que estoy en seguridad. El desafío nunca fue obtener acceso a la inteligencia de amenazas, sino darle sentido a gran velocidad y escala. Eso es lo que hace que Agente de inteligencia de amenazas Hero AI uno de los agentes expertos más prácticos y útiles en la flota de agentes de IA de Swimlane dentro del Plataforma de turbinas. No se limita a consultar tus fuentes de TI. Las correlaciona y sintetiza, generando un análisis unificado directamente en el caso, de modo que el analista obtiene una evaluación única y comprensible en lugar de tener que consultar seis pestañas y rezar para que funcione.

El problema del razonamiento con la inteligencia de amenazas de múltiples fuentes

Esto es lo que dificulta tanto la correlación de información de seguridad de múltiples fuentes para los humanos: no se trata solo de un problema de datos, sino de razonamiento. Cuando VirusTotal muestra un archivo con una tasa de detección de 3/72 y Recorded Future marca la IP asociada como vinculada a una campaña APT conocida, mientras que Umbrella muestra que el dominio se registró hace dos días, ¿qué se hace con esa información? Cada dato es un fragmento. El valor reside en cómo se ponderan y se conectan.

Sus analistas sénior lo hacen muy bien. Con los años, han desarrollado una intuición sobre qué fuentes son más fiables para cada tipo de indicador, cómo interpretar las discrepancias entre puntuaciones contradictorias y cuándo un recuento bajo de detecciones es más preocupante que uno alto. Este razonamiento es sumamente valioso y casi nunca se documenta.

El poder de la correlación autónoma

Este es precisamente el patrón que los agentes de IA expertos manejan con eficacia. No porque el agente sea más inteligente que el mejor analista, sino porque puede aplicar un razonamiento coherente a cada indicador, siempre, a velocidad de máquina. No se fatiga a las 2 de la madrugada. No omite pasos de enriquecimiento porque la cola tenga 200 alertas. Y, lo que es fundamental, muestra su proceso, de modo que cuando un analista revisa el resultado, puede ver exactamente cómo el agente ponderó cada fuente y llegó a su conclusión.

El Héroe IA El Agente de Inteligencia de Amenazas agrega datos de todas las fuentes de inteligencia de amenazas configuradas (VirusTotal, Cisco Umbrella, Recorded Future y cualquier otra que haya integrado) y genera un análisis unificado de múltiples fuentes directamente en el archivo del caso. Sin necesidad de cambiar de pestaña. Sin complicaciones. Una vista consolidada con la justificación claramente explicada.

Michael Lyborg, CISO de Swimlane, calificó a este agente como un "punto de inflexión para la inteligencia de amenazas" al describir cómo lo utiliza su SOC interno. Creo que la razón por la que tiene tanta acogida entre los profesionales es que resuelve un problema que todos reconocen, pero para el que nadie había encontrado una solución definitiva. Hemos tenido plataformas, fuentes y agregadores de inteligencia de amenazas, pero el paso de correlación y síntesis siempre ha recaído en el analista. Este agente integra ese paso en el propio flujo de trabajo.

Descubre un adelanto del SOC de IA de Swimlane.

Presentamos al agente de inteligencia de amenazas Hero AI.

El agente de inteligencia de amenazas Hero AI es el segundo agente que quiero analizar en profundidad (ya cubrí el Agente de MITRE ATT&CK y D3FEND (en la primera publicación de esta serie). Mientras que el agente MITRE estandariza la forma de describir los ataques y las defensas, el agente TI estandariza la forma de sintetizar la inteligencia. Juntos, comienzan a formar la capa de contexto de la que dependen todas las demás decisiones.

Obtén más información sobre Hero AI.

Cómo funciona el agente de IA de inteligencia de amenazas

Así es como funciona en la práctica. Cuando se crea un caso o se necesita enriquecer un indicador, el Agente de Inteligencia de Amenazas consulta automáticamente todas las fuentes de inteligencia de amenazas a las que está conectado su entorno. Recopila datos de reputación, asociaciones de campañas, avistamientos históricos, detalles de registro de dominio, análisis de comportamiento y todo lo que proporciona cada fuente. Luego, en lugar de volcar seis resultados sin procesar en el caso para que el analista los interprete, los sintetiza en un único análisis unificado.

Esa síntesis es lo que importa. El agente no se limita a promediar las puntuaciones ni a elegir la más alta. Razona entre diversas fuentes, ponderando los índices de detección, la fiabilidad de las fuentes, el tipo de indicador, el contexto temporal y las asociaciones con campañas, para generar una evaluación que refleja la conclusión a la que llegaría un analista bien informado si tuviera tiempo para revisar minuciosamente cada fuente. La diferencia clave: el agente lo hace en segundos, siempre, para cada indicador.

Esto alimenta directamente a los demás agentes de IA de héroes. Agente de veredicto Utiliza la salida del Agente TI, junto con el contexto histórico del caso y los artículos de la base de conocimientos (KB), para generar una disposición. Agente de investigación lo utiliza para construir su plan de investigación de principio a fin. Agente de MITRE El sistema mapea las técnicas de ataque. Cada agente realiza su función, envía su resultado y el resultado es un expediente más completo y coherente que el que la mayoría de los centros de operaciones de seguridad (SOC) elaboran manualmente, no porque la IA sea mágica, sino porque no omite pasos.

Vea una demostración de un minuto del agente de IA de inteligencia de amenazas.

Certeza cuantitativa: El índice de confianza de Hero AI

Una de las cosas que siempre recalco cuando hablo de IA en el SOC es la explicabilidad. No basta con que un agente diga: "Esto es malicioso". Necesitas saber por qué Se llegó a esa conclusión, se analizaron las fuentes que contribuyeron, su ponderación y los puntos de desacuerdo. Sin eso, simplemente se estaría sustituyendo una caja negra (la intuición del analista) por otra (el resultado del modelo).

El nivel de confianza del agente Hero AI aborda esto directamente. En lugar de devolver un veredicto binario de bueno/malo o un único número de riesgo opaco, el agente TI produce una evaluación ponderada por confianza que refleja el grado de acuerdo entre las fuentes, la calidad y la actualidad de los datos, y la cadena de razonamiento específica que condujo a la conclusión.

Esto tiene importancia operativa en varios aspectos. En primer lugar, ofrece a los analistas una forma rápida de priorizar la atención que requiere un indicador.

• ¿Alta confianza, claramente maliciosa? Es probable que el Agente de Veredicto pueda cerrar esa posibilidad de forma autónoma. 
• ¿Confianza moderada ante fuentes contradictorias? Un analista debería revisarlo, y sabrá exactamente dónde centrarse porque el razonamiento es transparente. 
• ¿Baja confianza? El agente indica que se necesitan más datos en lugar de tomar una decisión equivocada.

En segundo lugar, y este es el aspecto que, en mi opinión, los líderes de seguridad subestiman, la puntuación de confianza crea una base medible para la eficacia de su programa de inteligencia de amenazas (TI). Con el tiempo, puede hacer un seguimiento de la frecuencia con la que las evaluaciones de alta confianza del agente coinciden con los resultados reales. Puede identificar qué fuentes de TI aportan información relevante de forma constante, en contraposición al ruido. Puede tomar decisiones basadas en datos sobre qué fuentes merece la pena renovar y cuáles solo generan volumen sin aportar valor. Esto es gestión de programas de TI respaldada por evidencia, no por presentaciones de proveedores.

La paradoja de la inteligencia sobre amenazas y por qué los agentes inteligentes cambian la ecuación.

Permítanme alejarme un segundo, porque el Agente TI ilustra un punto más amplio sobre cómo agentes de IA ganarse su lugar en la SOC.

El enfoque tradicional de la inteligencia sobre amenazas es aditivo: comprar más fuentes de información, integrar más fuentes y contratar más analistas para revisar los resultados. El problema es que cada nueva fuente añade tanto información relevante como irrelevante, y la responsabilidad de la correlación recae completamente en los humanos. En algún momento, el valor marginal de una fuente adicional se vuelve negativo porque el equipo no puede procesar la información que ya posee.

Un agente de IA invierte esa ecuación. En lugar de que más datos generen más trabajo, más datos generan una mejor síntesis. Cada fuente de información adicional que conecte al agente mejora la correlación y hace que la puntuación de confianza sea más precisa. El agente mejora a medida que crece su programa de inteligencia, lo cual es exactamente lo contrario de lo que sucede cuando los humanos realizan la correlación manualmente.

El poder de una red de agentes de IA para una confianza progresiva

A esto me refiero cuando hablo de crear una sinfonía de agentes donde cada uno adquiere mayor relevancia con el tiempo. El Agente TI comienza mostrándote su análisis unificado junto con las conclusiones que habrían alcanzado tus analistas. Comparas, estableces puntos de referencia y generas confianza. A medida que demuestra su consistencia, empiezas a confiar en él para enriquecer los casos sin que un analista tenga que revisar cada indicador. Finalmente, los resultados de alta confianza se integran directamente en la resolución automatizada mediante el Agente de Veredicto, y tu equipo dedica su tiempo a los casos ambiguos que realmente requieren un juicio humano.

Eso es confianza progresiva aplicada a la inteligencia sobre amenazas. Y cuando se combina con el agente MITRE, que estandariza el lenguaje de ataque, y el mapeo de D3FEND, que muestra lo que ya cubren sus herramientas, se empieza a tener un SOC que no solo responde más rápido, sino que lo hace con un nivel de coherencia y documentación que la mayoría de los equipos no pueden lograr manualmente.

En la próxima publicación, analizaré en detalle el Agente de Veredicto y cómo funciona en la práctica la disposición explicable de la IA. Ahí es donde el modelo de confianza progresiva se pone a prueba, ya que cerrar un caso de forma autónoma supone un riesgo mucho mayor que simplemente mejorar un indicador. ¡No se lo pierdan!.